deny from allディレクティブがその下のすべてのサブディレクトリとファイルをトラバースすることを知っており、.htaccessファイルをコピーするのを「忘れた場合」またはファイルの作成をタイプミスした場合の明らかな警告を無視し.htaccessます...
DocumentRoot の外部に非公開ファイルを格納することと、DocumentRoot内の各非公開ディレクトリにディレクティブを含むファイルを配置することの間に、セキュリティ上のリスクはありますか?.htaccessdeny from all
ここで考慮すべき点がいくつかあります。
.htaccess は、Web 経由のアクセスからファイルを保護するだけです。たとえば、ドキュメント ルートに制限された仮想ユーザーを含む一般的な FTP サーバーのセットアップがあるとします。攻撃者が FTP サーバーへのアクセスを取得した場合 (ほとんどの FTP 構成がどれほど安全でないかを考えると、それほど大げさではありません)、攻撃者は .htaccess ファイルと、ドキュメント ルートにある保護されたファイルの両方にアクセスできます。
これは、あなたの環境には当てはまらないかもしれない 1 つの例にすぎませんが、私が実際に理解しようとしているのは、.htaccess ファイルではセキュリティがそれほど深くならないということです。あるコンテキスト (インターネット経由のアクセス) では保護されますが、他のコンテキストでは保護されません。
サーバー管理者は、特定の .htaccess ディレクティブを無効にしたり、特定の Apache モジュール (.htaccess ファイルが使用する可能性がある) を無効にしたり、.htaccess ファイルの期間の使用を無効にしたりすることができます。Apache の設定を制御できない場合 (.htaccess ファイルで上書きすることを選択しているため、そのようになっていると思います)、.htaccess ファイルが尊重されるようになります。それは、ホスト/サーバー管理者との関係と、彼らが何を許可するかによって決まります。
最後に、Apache サーバーを実行しているユーザーが .htaccess ファイルに書き込み可能な場合、特定のハッカーがそのファイルを変更できます。元。Wordpress を使用している場合、多くの一般的なテーマでは、URL の書き換えを制御できるように、.htaccess ファイルへの書き込みアクセスが要求されます。他のコンテンツ管理システムも同じことをしていると思います。
とはいえ、.htaccess ファイルを使用する (または Apache 構成ファイルを直接変更する) ことは、依然として完全に有効なセキュリティ手段である可能性があります。それは、環境全体がどのように見えるか (サーバーの構成方法、何を保護しようとしているかなど) によって異なります。少なくとも、考慮すべき点がいくつか示されたことを願っています。